Administración y supervisiónManagement and monitoring

Plan de administración y supervisión de la plataformaPlan platform management and monitoring

En esta sección se examina cómo mantener operativo un patrimonio empresarial de Azure mediante la administración y supervisión centralizadas en la plataforma.This section explores how to operationally maintain an Azure enterprise estate with centralized management and monitoring at a platform level. Más concretamente, aquí se ofrecen recomendaciones clave para que los equipos centrales mantengan la visibilidad operativa en una plataforma de Azure a gran escala.More specifically, it presents key recommendations for central teams to maintain operational visibility within a large-scale Azure platform.

Diagrama que muestra la administración y la supervisión.

Figura 1: supervisión y administración de la plataforma.Figure 1: Platform management and monitoring.

Consideraciones de diseño:Design considerations:

  • Use un área de trabajo de Log Analytics de Azure Monitor como límite administrativo.Use an Azure Monitor Log Analytics workspace as an administrative boundary.

  • Supervisión de la plataforma centrada en la aplicación, que engloba las rutas de acceso de telemetría activas y pasivas para las métricas y los registros, respectivamente:Application-centric platform monitoring, encompassing both hot and cold telemetry paths for metrics and logs, respectively:

    • Métricas del sistema operativo; por ejemplo, contadores de rendimiento y métricas personalizadasOperating system metrics; for example, performance counters and custom metrics
    • Registros del sistema operativo; por ejemplo, Internet Information Services, Seguimiento de eventos para Windows y syslogsOperating system logs; for example, Internet Information Services, Event Tracing for Windows, and syslogs
    • Eventos de estado del recurso.Resource health events
  • Registro de auditorías de seguridad y control horizontal de la seguridad en todo el patrimonio de Azure de la organización:Security audit logging and achieving a horizontal security lens across your organization's entire Azure estate:

    • Posibilidad de integración en sistemas locales de Administración de eventos e información de seguridad (SIEM), como ServiceNow, ArcSight o la plataforma de seguridad Onapsis.Potential integration with on-premises security information and event management (SIEM) systems such as ServiceNow, ArcSight, or the Onapsis security platform
    • Registros de actividad de AzureAzure activity logs
    • Informes de auditoría de Azure Active Directory (Azure AD)Azure Active Directory (Azure AD) audit reports
    • Servicios, registros y métricas de diagnóstico de Azure; eventos de auditoría de Azure Key Vault; registros de flujo de grupos de seguridad de red (NSG) y registros de eventos.Azure diagnostic services, logs, and metrics; Azure Key Vault audit events; network security group (NSG) flow logs; and event logs
    • Azure Monitor, Azure Network Watcher, Azure Security Center y Azure SentinelAzure Monitor, Azure Network Watcher, Azure Security Center, and Azure Sentinel
  • Umbrales de retención de datos de Azure y requisitos de archivado:Azure data retention thresholds and archiving requirements:

    • El período de retención predeterminado de los registros de Azure Monitor es de 30 días, con un máximo de dos años.The default retention period for Azure Monitor Logs is 30 days, with a maximum of two years.
    • El período de retención predeterminado de los informes de Azure AD (Prémium) es de 30 días.The default retention period for Azure AD reports (premium) is 30 days.
    • El período de retención predeterminado del servicio de diagnóstico de Azure es de 90 días.The default retention period for the Azure diagnostic service is 90 days.
  • Requisitos operativos:Operational requirements:

    • Paneles operativos con herramientas nativas como registros de Azure Monitor o herramientas de terceros.Operational dashboards with native tools such as Azure Monitor Logs or third-party tooling
    • Control de actividades con privilegios con roles centralizados.Controlling privileged activities with centralized roles
    • Identidades administradas de recursos de Azure para obtener acceso a los servicios de Azure.Managed identities for Azure resources for access to Azure services
    • Bloqueos de recursos para proteger la edición y la eliminación de recursos.Resource locks to protect editing and deleting resources

Recomendaciones de diseño:Design recommendations:

  • Use una sola área de trabajo de registros de supervisión para administrar las plataformas de forma centralizada, excepto en los lugares donde el control de acceso basado en roles de Azure (RBAC de Azure), los requisitos para la soberanía de datos y las directivas de retención de datos exijan áreas de trabajo independientes.Use a single monitor logs workspace to manage platforms centrally except where Azure role-based access control (Azure RBAC), data sovereignty requirements and data retention policies mandate separate workspaces. Tener un registro central es fundamental para dar a los equipos de administración de operaciones la visibilidad que necesitan.Centralized logging is critical to the visibility required by operations management teams. La centralización de los registros permite crear informes sobre la administración de cambios, el estado del servicio, la configuración y muchos otros aspectos de las operaciones de TI.Logging centralization drives reports about change management, service health, configuration, and most other aspects of IT operations. La convergencia en un modelo del área de trabajo centralizada reduce el esfuerzo administrativo y las posibilidades de brechas en las operaciones de observabilidad.Converging on a centralized workspace model reduces administrative effort and the chances for gaps in observability.

    En cuanto a la arquitectura a escala empresarial, el registro centralizado se refiere principalmente a las operaciones de plataforma.In the context of the enterprise-scale architecture, centralized logging is primarily concerned with platform operations. Este énfasis no impide el uso de la misma área de trabajo para el registro de aplicaciones basado en VM.This emphasis doesn't prevent the use of the same workspace for VM-based application logging. Con un área de trabajo configurada en el modo de control de acceso centrado en los recursos, se aplica un RBAC de Azure detallado para asegurarse de que los equipos de la aplicación solo tendrán acceso a los registros de sus recursos.With a workspace configured in resource-centric access control mode, granular Azure RBAC is enforced to ensure application teams will only have access to the logs from their resources. En este modelo, los equipos de la aplicación se benefician del uso de la infraestructura de la plataforma existente, ya que se reduce la sobrecarga de administración.In this model, application teams benefit from the use of existing platform infrastructure by reducing their management overhead. En el caso de los recursos que no pertenezcan al proceso, como las aplicaciones web o las bases de datos de Azure Cosmos DB, los equipos de la aplicación pueden usar sus propias áreas de trabajo de Log Analytics y configurar los diagnósticos y métricas que se enrutarán aquí.For any non-compute resources such as web apps or Azure Cosmos DB databases, application teams can use their own Log Analytics workspaces and configure diagnostics and metrics to be routed here.

  • Exporte registros a Azure Storage si los requisitos de retención de registros superan los dos años.Export logs to Azure Storage if log retention requirements exceed two years. Use el almacenamiento inmutable con la directiva para escribir una vez y leer varias si desea que los datos no se puedan borrar ni modificar durante un intervalo de tiempo que haya especificado el usuario.Use immutable storage with a write-once, read-many policy to make data non-erasable and non-modifiable for a user-specified interval.
  • Use Azure Policy para el control de acceso y los informes de cumplimiento.Use Azure Policy for access control and compliance reporting. Azure Policy proporciona la capacidad de aplicar la configuración en toda la organización para garantizar así la aplicación coherente de la directiva y la rápida detección de infracciones.Azure Policy provides the ability to enforce organization-wide settings to ensure consistent policy adherence and fast violation detection. Para obtener más información, consulte Comprensión de los efectos de Azure Policy.For more information, see Understand Azure Policy effects.
  • Supervise el desfase de configuración de la máquina virtual (VM) en el invitado mediante Azure Policy.Monitor in-guest virtual machine (VM) configuration drift using Azure Policy. Al habilitar las funcionalidades de auditoría de la configuración de invitado a través de la directiva, las cargas de trabajo del equipo de aplicaciones podrán consumir inmediatamente las funcionalidades de características con poco esfuerzo.Enabling guest configuration audit capabilities through policy helps application team workloads to immediately consume feature capabilities with little effort.
  • Use Update Management de Azure Automation como mecanismo de revisión a largo plazo de las máquinas virtuales Windows y Linux.Use Update Management in Azure Automation as a long-term patching mechanism for both Windows and Linux VMs. La aplicación de configuraciones de Update Management mediante Azure Policy garantiza que todas las máquinas virtuales se incluyan en el régimen de administración de revisiones y permite a los equipos de aplicaciones administrar la implementación de revisiones para sus máquinas virtuales.Enforcing Update Management configurations via Azure Policy ensures that all VMs are included in the patch management regimen and provides application teams with the ability to manage patch deployment for their VMs. También proporciona funciones de visibilidad y cumplimiento al equipo de TI central en todas las máquinas virtuales.It also provides visibility and enforcement capabilities to the central IT team across all VMs.
  • Use Network Watcher para supervisar de forma proactiva los flujos de tráfico a través de los registros de flujo de grupo de seguridad de red de Network Watcher v2.Use Network Watcher to proactively monitor traffic flows via Network Watcher NSG flow logs v2. Análisis de tráfico analiza los registros de flujo de grupos de seguridad de red para recopilar información detallada sobre el tráfico IP en una red virtual y así poder proporcionar información crítica para llevar a cabo con eficacia la administración y la supervisión.Traffic Analytics analyzes NSG flow logs to gather deep insights about IP traffic within a virtual network and provides critical information for effective management and monitoring. Análisis de tráfico proporciona información sobre los hosts y protocolos de aplicaciones con mayor comunicación, los pares de hosts con mayor número de interlocutores, el tráfico permitido o bloqueado, el tráfico de entrada o salida, los puertos de Internet abiertos, las mayoría de las reglas de bloqueo, la distribución del tráfico por centro de datos de Azure, la red virtual, las subredes o las redes no autorizadas.Traffic Analytics provide information such as most communicating hosts and application protocols, most conversing host pairs, allowed or blocked traffic, inbound and outbound traffic, open internet ports, most blocking rules, traffic distribution per an Azure datacenter, virtual network, subnets, or rogue networks.
  • Use los bloqueos de recursos para evitar eliminar de forma accidental servicios compartidos críticos.Use resource locks to prevent accidental deletion of critical shared services.
  • Use las directivas de denegación para complementar las asignaciones de roles de Azure.Use deny policies to supplement Azure role assignments. Las directivas de denegación se usan para evitar la implementación y configuración de recursos que no coinciden con estándares definidos, evitando así que se envíe la solicitud al proveedor de recursos.Deny policies are used to prevent deploying and configuring resources that don't match defined standards by preventing the request from being sent to the resource provider. La combinación de las directivas de denegación y las asignaciones de roles de Azure garantiza que las barreras de protección adecuadas estén en vigor para aplicar quién puede implementar y configurar recursos y qué recursos pueden implementar y configurar.The combination of deny policies and Azure role assignments ensures the appropriate guardrails are in place to enforce who can deploy and configure resources and what resources they can deploy and configure.
  • Incluya los eventos de mantenimiento del servicio y los recursos como parte de la solución general de supervisión de la plataforma.Include service and resource health events as part of the overall platform monitoring solution. El servicio de seguimiento y el estado de los recursos desde la perspectiva de la plataforma es un componente importante de la administración de recursos en Azure.Tracking service and resource health from the platform perspective is an important component of resource management in Azure.
  • No envíe de nuevo entradas de registro sin procesar a sistemas de supervisión locales.Don't send raw log entries back to on-premises monitoring systems. En su lugar, adopte un principio según el cual los datos creados en Azure permanezcan en Azure.Instead, adopt a principle that data born in Azure stays in Azure. Si la integración de SIEM local es necesaria, envíe alertas críticas en lugar de registros.If on-premises SIEM integration is required, then send critical alerts instead of logs.

Plan de administración y supervisión de la aplicaciónPlan for application management and monitoring

Para ampliar la sección anterior, en esta sección se tendrá en cuenta un modelo federado y se explicará la forma en que los equipos de la aplicación mantienen estas cargas de trabajo.To expand on the previous section, this section will consider a federated model and explain how application teams can operationally maintain these workloads.

Consideraciones de diseño:Design considerations:

  • La supervisión de aplicaciones puede usar áreas de trabajo de Log Analytics dedicadas.Application monitoring can use dedicated Log Analytics workspaces.
  • En el caso de las aplicaciones que se implementen en máquinas virtuales, los registros se deben almacenar de forma centralizada en el área de trabajo de Log Analytics dedicada desde la perspectiva de una plataforma.For applications that are deployed to virtual machines, logs should be stored centrally to the dedicated Log Analytics workspace from a platform perspective. Los equipos de la aplicación pueden acceder a los registros sujetos al RBAC de Azure que tienen en sus aplicaciones o máquinas virtuales.Application teams can access the logs subject to the Azure RBAC they have on their applications or virtual machines.
  • Rendimiento de la aplicación y supervisión del estado de los recursos de infraestructura como servicio (IaaS) y plataforma como servicio (PaaS).Application performance and health monitoring for both infrastructure as a service (IaaS) and platform as a service (PaaS) resources.
  • Agregación de datos en todos los componentes de la aplicación.Data aggregation across all application components.
  • Modelado y operacionalización del estado:Health modeling and operationalization:
    • Cómo medir el estado de la carga de trabajo y sus subsistemas.How to measure the health of the workload and its subsystems
    • Un modelo de tipo semáforo para representar el estado.A traffic-light model to represent health
    • Cómo responder a errores entre componentes de la aplicaciónHow to respond to failures across application components

Recomendaciones de diseño:Design recommendations:

  • Use un área de trabajo de Log Analytics centralizada de Azure Monitor para recopilar registros y métricas de los recursos de aplicaciones IaaS y PaaS y controlar el acceso a los registros con RBAC de Azure.Use a centralized Azure Monitor Log Analytics workspace to collect logs and metrics from IaaS and PaaS application resources and control log access with Azure RBAC.
  • Use las métricas de Azure Monitor para realizar un análisis que tenga en cuenta el tiempo.Use Azure Monitor metrics for time-sensitive analysis. Las métricas en Azure Monitor se almacenan en una base de datos de serie temporal que está optimizada para el análisis de datos con marca de tiempo.Metrics in Azure Monitor are stored in a time-series database optimized to analyze time-stamped data. Estas métricas son adecuadas para enviar las alertas y detectar rápidamente problemas.These metrics are well suited for alerts and detecting issues quickly. También pueden indicarle cómo está funcionando el sistema.They can also tell you how your system is performing. Por lo general, deben combinarse con registros para identificar la causa principal de los problemas.They typically need to be combined with logs to identify the root cause of issues.
  • Use los registros de Azure Monitor para obtener detalles e informes.Use Azure Monitor Logs for insights and reporting. Los registros contienen distintos tipos de datos organizados en registros con diferentes conjuntos de propiedades.Logs contain different types of data that's organized into records with different sets of properties. Resultan útiles para analizar datos complejos de diversos orígenes, como los datos de rendimiento, los eventos y los seguimientos.They're useful for analyzing complex data from a range of sources, such as performance data, events, and traces.
  • Cuando sea necesario, use cuentas de almacenamiento compartidas en la zona de aterrizaje para el almacenamiento de registros de la extensión de diagnósticos de Azure.When necessary, use shared storage accounts within the landing zone for Azure diagnostic extension log storage.
  • Use alertas de Azure Monitor para generar alertas operativas.Use Azure Monitor alerts for the generation of operational alerts. Las alertas de Azure Monitor unifican las alertas de métricas y registros, y usan características como la acción y los grupos inteligentes para fines de corrección y administración avanzados.Azure Monitor alerts unify alerts for metrics and logs and use features such as action and smart groups for advanced management and remediation purposes.